IT Sicherheit: IT-Forensik

Transkript

1 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 IT Sicherheit: IT-Forensik Dr. Christian Rathgeb Hochschule Darmstadt, CRISP, da/sec Security Group

2 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen Forensik Forensik ist ein Sammelbegriff für wissenschaftliche und technische Arbeitsgebiete, in denen Spuren systematisch untersucht werden um strafbare bzw. anderweitig rechtswidrige oder sozialschädliche Handlungen nachzuweisen und aufzuklären. Etymologie: Forum = Marktplatz (im antiken Rom). Auf Forum fanden Gerichtsverhandlungen statt. Beantwortung der Rechtsfragen im öffentlichen Raum.

3 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Spur Grundlagen Spuren im foresnischen Sinne sind hinterlassene Zeichen welche als Ausgangspunkt für eine Untersuchung dienen (z.b. Fingerabdruck)

4 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen Spur Spuren im foresnischen Sinne sind hinterlassene Zeichen welche als Ausgangspunkt für eine Untersuchung dienen (z.b. Fingerabdruck) Arten von Spuren: Materielle: Blutspritzer, Fingerabdrücke, Schuhabdruck, Haar. Immaterielle: Menschliches Verhalten (z.b. Unsicherheit). Im Kontext von IT-Forensik: digitale Spuren

5 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen Indiz, Beweis Indiz: Hinweis, der alleine oder mit anderen Indizien zusammen auf das Vorliegen eines Sachverhalts schließen lässt (gewürdigte Spur) Beispiel: dieser Fußabdruck gehört mutmaßlich zum Schuh des Verdächtigen.

6 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen Indiz, Beweis Indiz: Hinweis, der alleine oder mit anderen Indizien zusammen auf das Vorliegen eines Sachverhalts schließen lässt (gewürdigte Spur) Beispiel: dieser Fußabdruck gehört mutmaßlich zum Schuh des Verdächtigen. Beweis: Feststellung eines Sachverhalts als Tatsache in einem Gerichtsverfahren aufgrund richterlicher Überzeugung (Juristische Wahrheit) Beispiel: dieser Fußabdruck gehört zum Schuh des Verdächtigen. Im Allgemeinen ist ein Indiz mehr als eine Behauptung, aber weniger als ein Beweis

7 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen Teilgebiete der Forensik 1. Forensische Medizin / Rechtsmedizin: Beantwortung von Rechtsfragen im Zusammenhang eines vermuteten nicht-natürlichen Todes (z.b. Todesursache, Todeszeitpunkt), Gewaltdeliktes (z.b. gegen Kinder, sexuelle Gewalt). Bitte nicht mit Pathologie verwechseln!! 2. Forensische Toxikologie: Rechtsfragen zu chemischen oder biologischen Stoffen (z.b. liegt eine Vergiftung vor?). 3. Ballistik: Rechtsfragen zu Geschossen (z.b. Zuordnung einer Patrone zu einer Pistole). 4. IT-Forensik: Rechtsfragen im Kontext von IT-Systemen. 5. etc.

8 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen Aufgaben der Forensik im Einzelnen Identifizieren, Sicherstellen, Selektieren und Analysieren von Spuren, die im weiteren Verlauf der Ermittlungen zu Indizien und Beweisen werden können. Dabei soll der Forensiker so wenig wie möglich in den Untersuchungsgegenstand eingreifen. Grundsätzlich gilt das Paradigma der Integrität von Beweismitteln. Beispiel der IT-Forensik: Unverändertheit einer zu untersuchenden Festplatte. Dabei stets Einhaltung der Sorgfaltskette (engl. Chain of Custody). Es muss immer klar dokumentiert sein, wer wann wie auf ein Beweisstück zugreifen kann.

9 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen Das Locardsche Austauschprinzip: Einführung 1. Edmond Locard ( ): Französischer Mediziner und Rechtsanwalt. Pionier der Kriminalistik und Forensik. Direktor des weltweit ersten Kriminallabors in Lyon (1912 von Polizei anerkannt). 2. Locard s exchange principle: With contact between two items, there will be an exchange. Jeder und alles am Tatort hinterlässt etwas und nimmt etwas mit (physische Spuren). Basis für die Suche nach Spuren (die immer existieren).

10 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen Das Locardsche Austauschprinzip: Übersicht Spuren: Fingerabdrücke, Fußabdrücke, Schmauchspuren, Faserspuren, etc. sind oft die Hauptbelastungsbeweise für die Aufklärung zahlreicher Verbrechen.

11 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen Das Locardsche Austauschprinzip: Zitat Überall dort, wo er geht, was er berührt, was er hinterlässt, auch unbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seine Fingerabdrücke oder seine Fußabdrücke, auch seine Haare, die Fasern aus seiner Kleidung, das Glas, das er bricht, die Abdrücke der Werkzeuge, die er hinterlässt, die Kratzer, die er in die Farbe macht, das Blut oder Sperma, das er hinterlässt oder an sich trägt. All dies und mehr sind stumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Er ist nicht verwirrt durch die Spannung des Augenblicks. Er ist nicht unkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicher Beweis. Physikalische Beweismittel können nicht falsch sein, sie können sich selbst nicht verstellen, sie können nicht vollständig verschwinden. Nur menschliches Versagen diese zu finden, zu studieren und zu verstehen kann ihren Wert zunichte machen. Zitiert nach Wikipedia

12 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Grundlagen IT-Forensik 1. Indizien, Spuren im Kontext eines IT-Systems (Computer, Smartphone, HDD, SSD, RAM, USB-Stick, SD-Karte, Router, Netzkabel, WLAN, Cloud,...). 2. Abstraktionsgrade: Anwendungsebene: Applikationsdaten (z.b. sqlite, doc). Dateisystemebene: Dateisystem (z.b. NTFS, ext3). Datenträgerebene: Partitionen (z.b. DOS-Partitionen). Bits und Bytes. Physische Spur: Signal.

13 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Prinzipien und Vorgehensmodelle Sieben W-Fragen der Kriminalistik Typische Fragen im Zusammenhang mit einem Ermittlungsverfahren: 1. Wer? - Täter 2. Was? - Straftat 3. Wo? - Tatort 4. Wann? - Tatzeitpunkt 5. Womit? - Spuren (z.b. Waffe) 6. Wie? - Tathergang 7. Weshalb? - Motiv

14 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Anforderungen an IT-Forensik Prinzipien und Vorgehensmodelle 1. Akzeptanz: Untersuchungsschritte und Methoden in der Fachwelt dokumentiert und anerkannt 2. Glaubwürdigkeit: Robustheit und Funktionalität der angewandten Methoden (Unterschied zu Akzeptanz?) 3. Wiederholbarkeit: Erneute Durchführung der forensischen Untersuchung erzielt dieselben Ergebnisse 4. Integrität: Digitalen Spuren bleiben unverändert 5. Ursache und Auswirkungen: Verbindungen zwischen Ereignissen, Spuren und evtl. auch Personen herstellen. 6. Dokumentation: Insbesondere Chain of Custody

15 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Prinzipien und Vorgehensmodelle SAP - Vorgehensmodell: Übersicht Das S-A-P Modell ist ein Modell zur Beschreibung der Vorgehensweise bei einer forensischen Untersuchung. Vorteil: Einfachheit 1. Secure: Identifizierung der Datenquellen, Datensicherung (zb: Erstellung von Kopien) 2. Analyse: Vorverarbeitung, Interpretierung 3. Present: Dokumentation, zielgruppenorientierte Präsentation

16 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Übersicht Das BSI (Bundesamtes für Sicherheit in der Informationstechnik) untergliedert forensische Prozess in folgende Untersuchungsabschnitte (Phasen): 1. strategische Vorbereitung; 2. operationale Vorbereitung; 3. Datensammlung; 4. Untersuchung; 5. Datenanalyse; 6. Dokumentation einer forensischen Untersuchung

17 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Übersicht Quelle: Denise Muth, BSI

18 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 1 + Phase 2 1. Strategische Vorbereitung: Vor Eintritt eines Zwischenfalls (Zwischenfall = Symptom). Bereitstellung von Datenquellen (z.b. Logs von Webdiensten, Verbindungsdaten von Routern). Einrichtung einer forensischen Workstation samt Zubehör (Tools, Write-Blocker, Kabel für Smartphones). Festlegung von Handlungsanweisungen (z.b. Rücksprache mit Juristen). 2. Operative Vorbereitung: Bestandsaufnahme vor Ort nach Eintritt eines Zwischenfalls. Festlegung des konkreten Ziels der Ermittlung. Festlegung der nutzbaren Datenquellen (Datenschutz beachten).

19 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 3 + Phase 4 3. Datensammlung: Eigentlich: Datenakquise oder Datensicherung. Sicherung der im Rahmen der operativen Vorbereitung festgelegten Daten. Integrität der Datenträger sowie Vier-Augen-Prinzip berücksichtigen. Order of Volatility (Unbeständigkeit) bei der Datensicherung beachten (z.b. RAM zuerst). 4. Datenuntersuchung: Eigentlich: Vorverarbeitung für anschließende Analyse. Datenreduktion (irrelevant vs. relevant). Datenrekonstruktion (z.b. Dateiwiederherstellung).

20 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 5 + Phase 6 5. Datenanalyse: Eigentliche Analyse der vorverarbeiteten Daten. Insbesondere Korrelation der Daten. 6. Dokumentation: Verlaufsprotokoll: Protokollierung aller Einzelschritte im Laufe der verschiedenen Ermittlungsphasen. Ergebnisprotokoll: Adaption des Verlaufsprotokolls für eine bestimmte Zielgruppe (z.b. Staatsanwalt, Geschäftsleitung, IT-Abteilung). Nutzung standardisierter Terminologie (CERT-Terminologie).

21 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 BSI-Vorgehensmodell: Phase 6 Prinzipien und Vorgehensmodelle Der prozessbegleitende Dokumentationsprozess verläuft parallel zu der Durchführung der anderen Phasen. Seine Aufgabe ist das Protokollieren der gewonnenen Daten und durchgeführten Prozesse. Der prozessbegleitende Dokumentationsprozess zeichnet also auf, welche Daten beim Durchführen der einzelnen Methoden gewonnen wurden, protokolliert aber gleichzeitig auch Parameter der Durchführung selbst. Beispiele für diese Parameter sind. Beipiele: Name und Versionsnummer des verwendeten Programms, Motivation zur Auswahl dieses Programms, etc.

22 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Kurzabriss: Tools Prinzipien und Vorgehensmodelle 1. The Sleuthkit (TSK): Toolsammlung zur IT-forensischen Analyse von Datenträgern. Autor: Brian Carrier. Frontend (insbesondere für Windows): Autopsy. Tools auf unterschiedlichen Abstraktionsebenen: Dateisystemebene: fls, ils, blkcat. Datenträgerebene: mmls. 2. dd: Datensicherung. 3. sha256sum: Berechnung von Hashwerten.

23 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Datenträgeranalyse Erstellung der Arbeitskopien Quelle: Denise Muth 1. Paradigma: Original so selten wie möglich verwenden. Einfach bei klassischen Datenträgern wie HDDs, SSDs, SD-Karten, USB-Sticks. Schwierig(er) bei Smartphones, Hauptspeicher, Cloud 2. Verwendung von Schreibschutz (typischerweise Hardware-basierte Write-Blocker).

24 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Datenträgeranalyse Fallbeispiel: Sicherung externer HDD # sha256sum /dev/sdb 6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef dc3921 /dev/sdb # dd if=/dev/sdb of=mastercopy.dd bs=512 # dd if=mastercopy.dd of=workingcopy.dd bs=512 # sha256sum mastercopy.dd workingcopy.dd 6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef dc3921 mastercopy.dd 6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef dc3921 workingcopy.dd

25 Sektor, Partitionierung Sektor: Datenträgeranalyse Kleinste adressierbare Einheit auf einem Datenträger. Adressierungsschema: Logical Block Address (LBA), von vorne nach hinten. Größe: 512 Byte (älter), 4096 Byte (modern). Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39

26 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Datenträgeranalyse Partitionierung Partitionierung: Ziel: Organisation in kleinere Bereiche zur Ablage unterschiedlicher Daten (z.b. Windows parallel zu Linux; Betriebssystem vs. Nutzerdaten). Layout des Datenträgers in Partitionstabelle beschrieben. Verbreitete Schemata: DOS-Partitionierung, GPT-Partitionierung. Sleuthkit-Tool: mmls.

27 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Datenträgeranalyse Fallbeispiel: Partitionierung externer HDD # mmls workingcopy.dd DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 00: Meta Primary Table (#0) 01: Unallocated 02: 00: Win95 FAT32 (0x0C) 03: Unallocated 04: Meta DOS Extended (0x05) 05: Meta Extended Table (#1) 06: 01: Linux Swap/Solarisx86 (0x82) 07: Unallocated

28 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Datenträgeranalyse Fallbeispiel: Partitionierung externer HDD Wir sehen, dass es sich um eine DOS-Partitionierung handelt, die Zählung am Beginn des Datenträgers startet und dass die Zahlen in der Maßeinheit Sektoren zu je 512 Byte angegeben werden. Wir sehen insgesamt zwei Partitionstabellen: die primäre Tabelle steht im MBR (Primary Table (#0) im Eintrag 00), die zweite Partitionstabelle findet sich im ersten Sektor der erweiterten Partition als Eintrag 05. Wir finden drei nicht-allozierte Bereiche (Einträge 01, 03 und 07) sowie zwei Dateisystempartitionen vor (Einträge 02 und 06).

29 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Fallbeispiel: USB-Stick Datenträgeranalyse [SECURE /dev/sdb to image-usb.dd] $ mmls image-usb.dd DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 00: Meta Primary Table (#0) 01: Unallocated 02: 00: DOS FAT16 (0x06) $ dd if=image-usb.dd of=partition-fat.dd bs=512 skip=32 count= records in records out $ sha256sum partition-fat.dd c3ddd15edc5af356dc51f80dd5f54aefcfa34166ee950dd410651e08fd32a649 partition-fat.dd

30 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Grundlagen 1. Schnittstelle zwischen Betriebssystem und verbundenen Datenträgern. 2. Verwaltung von Dateien: Namen, Zeitstempel, Speicherort. 3. Phänomen Fragmentierung. 4. Cluster: Kleinste adressierbare Einheit auf Dateisystemebene. Alternative Bezeichnungen: FS-Block (File System Block) oder nur Block. Typische Größe: 4096 Byte = 4 KiB. 5. Dateisystemanalyse: Untersuchung der analysefähigen Strukturen auf Dateisystemebene.

31 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Beispiele für Dateisysteme 1. extended file system: (ext2, ext3, ext4 = extx) Standarddateisystem unter Linux. ext4 ist heute Standarddateisystem unter Android. 2. FAT-Dateisystem (FAT12, FAT16, FAT32) Älteres Dateisystem von Microsoft (aus MS-DOS-Zeiten). Heute noch gebräuchlich auf Wechseldatenträgern. 3. New Technology File System (NTFS): Aktuelles Dateisystem von Microsoft. Wegen Windows-Verbreitung sehr bedeutend. 4. Hierarchical File System (HFS/HFS+): Aktuelles Dateisystem von Apple.

32 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Kategorien Dateisystemdaten: Dateisystemanalyse 1. Grundlegende Informationen zu Dateisystem. 2. Am Anfang des Dateisystems: Bootsektor. 3. Typische Dateisystemdaten: Clustergröße. Größe des Dateisystems. Belegtstatus der Cluster: welche sind belegt, wie viele sind belegt. Pointer zu weiteren Informationen über das Dateisystem.

33 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Kategorien Metadaten: Dateisystemanalyse 1. Verwaltungs-Informationen über eine Datei. 2. Zeitstempel: Modified Time: Last write access. 3. Dateigröße. Accessed Time: Last read access. Creation Time: File has been created. Manchmal noch vierter Zeitstempel (wann gelöscht, wann Metadaten geändert,...). 4. Pointer zu den Inhaltsdaten (z.b. Clusteradressen). 5. Inhaber samt Zugriffsrechte.

34 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition (1/2) $ fsstat partition-fat.dd FILE SYSTEM INFORMATION OEM Name: MSWIN4.1 Volume ID: 0xc2f8e4f2 Volume Label (Boot Sector): NO NAME File System Type Label: FAT16 File System Layout (in sectors) Total Range: * Reserved: 0-1 ** Boot Sector: 0 * FAT 0: * FAT 1: * Data Area: ** Root Directory: ** Cluster Area: ** Non-clustered: [cont]

35 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition (2/2) [cont] METADATA INFORMATION Range: Root Directory: 2 CONTENT INFORMATION Sector Size: 512 Cluster Size: Total Cluster Range: FAT CONTENTS (in sectors) [REMOVED]

36 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition In der ersten Kategorie FILE SYSTEM INFORMATION sehen wir, dass es sich um ein FAT16-Dateisystem handelt und die Adressierung der Sektoren von 0 bis reicht mit der Sektorgröße 512 Byte = 1 2 KiB. Daraus ergibt das eine Dateisystemgröße von KiB = KiB = 1.86 GB. Die weiteren Informationen in der Kategorie FILE SYSTEM INFORMATION beschreiben die Lage der drei Bereiche eines FAT-Dateisystems, nämlich den reservierten Bereich, die beiden File Allocation Tables (FAT0 bzw. deren Backup FAT1) sowie den Datenbereich.

37 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition In der zweiten Kategorie METADATA INFORMATION erhalten wir Informationen über den Adressbereich der Inodes. Das Wurzelverzeichnis des Dateisystems hat die Inode-Nummer 2, Inodes 0 oder 1 gibt es unter FAT nicht. Unter CONTENT INFORMATION erfahren wir die Sektor- und die Clustergröße (bitte beachten, dass die Sektorgröße vom Datenträger, nicht aber vom Dateisystem festgelegt wird). Der Adressbereich der Cluster ist 2 bis Auch hier gilt, dass es weder einen Cluster 0 noch einen Cluster 1 gibt. Schließlich erfahren wir in der Kategorie FAT CONTENTS Informationen über die Anzahl und Fragmentierung allozierter Dateien und Verzeichnisse.

38 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Fallbeispiel: Dateien auf USB-Stick $ fls -ar partition-fat.dd r/r * 3: r/r * 4: r/r * 5: r/r * 6: r/r * 7: r/r * 8: [REMOVED] _ICT0001.JPG _ICT0003.JPG _ICT0004.JPG _ICT0005.JPG _ICT0017.JPG _ICT0009.JPG

39 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Fallbeispiel: Dateien auf USB-Stick In der ersten Spalte steht r/r für eine regularäre Datei, v/v für eine virtuelle (d.h. nicht existierende) Datei, die das Sleuthkit einfügt. d/d bezeichnet ein Verzeichnis. Die zweite Spalte gibt an, ob eine Datei oder ein Verzeichnis alloziert oder gelöscht ist. Im ersten Fall gibt fls die Inode-Nummer an, im Falle eines gelöschten Objekts zusätzlich ein *. Es befinden sich also nur gelöschte Dateien auf dem USB-Stick

40 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Fallbeispiel: Metadaten auf USB-Stick Metadaten der gelöschten Datei unter Inode 3 $ istat partition-fat.dd 3 Directory Entry: 3 Not Allocated File Attributes: File, Archive Size: Name: _ICT0001.JPG Directory Entry Times: Written: Sat Mar 27 09:23: Accessed: Fri Jun 4 00:00: Created: Sat Apr 3 14:26: Sectors: [REMOVED]

41 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / /39 Dateisystemanalyse Fallbeispiel: Wiederherstellung auf USB-Stick Wiederherstellung von (vermutetem) Dateinamen PICT0001.JPG $ icat -r partition-fat.dd 3 > usb-pic1.jpg $ file usb-pic1.jpg usb-pic1.jpg: JPEG image data, JFIF standard 1.01 $ sha256sum usb-pic1.jpg 0fae1c92bd80ff326cd14005a8fce92c7ee454fb28e6a8e016ee048a958ad4d3 usb-pic1.jpg